haproxy, acme, DNS Resolver, ssl в локальной сети
-
Есть pfsense.
Есть локальные web-сервера.
Настроена haproxy.
Настроен acme c ssl сертификатами хранящимися на pfsense.
Добавил настройки в DNS resolver для того, чтобы из локальной сети переопределить dns имена на локальные ip адреса локальных web-серверов (на случай когда провайдер отрубает сеть).
В итоге в браузере всплывает предупреждение о недостоверном сертификате.
Подскажите, как правильно настроить dns resolver, haproxy, куда еще добавить сертификаты. Или что-то исключить нужно? -
@inkoff said in haproxy, acme, DNS Resolver, ssl в локальной сети:
Добавил настройки в DNS resolver для того, чтобы из локальной сети переопределить dns имена на локальные ip адреса локальных web-серверов (на случай когда провайдер отрубает сеть).
Попробуйте не так.
Не сработает, если сертификатов физически нет на веб-серверах в локалке. Смотрите Зы1.
-
Сменить порт вебки пф-а на что-то типа 8080\8443.
-
Удалите то, что в резольвере настроили.
Проверьте, чтобы ПЕРВЫМ (единственным?) днс-ом у пол-лей был пф в сетевых настройках.
Создайте на ЛАН правило портфорварда, где в src-ЛАН, в дст - реальное-имя-веб-сервера и редирект на локальный-ip это веб-сервера.
Сбросьте днс-кеш на своей машине и попробуйте зайти на внешнее имя веб-сервера в браузере.
И второе такое же для HTTPS
Там же добавить правило принудительного редиректа всего ДНС-трафика из локалки на адрес пф:
Зы1. Немного подумал (полезно). Еще варианты редиректа:
Еcли Haproxy слушает ВАН + localhost ( в его настройках можно указывать неск-ко интерфейсов?).
Если хапрокси умеет слушать ВАН+ЛАН, то вместо 127.0.0.1 на последнем скрине указать локальный ип пфсенса.
Возможно понадобится на ЛАН явное правило фаера для доступа из src- LAN net к локальному ип пф-а и порту, на к-ом слушает хапрокси (80, 443 \TCP)
-
-
@inkoff
Получилось? -
@inkoff
Еще вариант ,если у вас развернута AD\LDAP.
Это настройка split-dns на ваших dns-серверах.
Тут https://techgenix.com/active-directory-naming/ со слов:
In order to keep it simple, the utilization of a split-brain DNS is required.Ес-но, что в кач-ве 1-го ДНС-а клиенты в сети должны иметь адрес вашего локального ДНС.
-
@werter
главное правило - работает не трожь. но как буду в локальной сети этого PF обязательно попробую.